Onder de Algemene verordening gegevensbescherming (AVG), kunnen bedrijven verplicht zijn om een privacy impact assessment (PIA) uit te voeren. Dit instrument brengt privacyrisico’s voorafgaand aan een verwerking in kaart. Vervolgens neemt de organisatie, op basis van de uitkomsten, maatregelen om de risico’s te verkleinen. Een privacy impact assessment staat ook bekend onder de benaming data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB). 

Wat is een privacy impact assessment? 

Bij verwerkingen met een (mogelijk) hoog risico voor de rechten van betrokkenen voert de organisatie een gegevensbeschermingseffectbeoordeling (privacy impact assessment) uit. In Artikel 35 van de AVG staat beschreven dat een PIA, een beoordeling is van de beoogde verwerking en het effect hiervan op de bescherming van persoonsgegevens. Bovendien helpt een PIA om vooraf na te denken over de mogelijke privacyrisico’s van een bepaalde verwerking. Vervolgens maakt de organisatie op basis van de uitkomsten een plan van aanpak.

De PIA is een instrument dat bedoeld is om op systematische wijze de volgende punten in kaart te brengen:

  • De beoogde verwerkingen en de verwerkingsdoeleinden;
  • Beoordeling van de noodzaak en evenredigheid met betrekking tot de doeleinden;
  • Beoordeling van de privacyrisico’s voor de rechten en vrijheden van betrokkenen;
  • De beoogde maatregelen om deze privacyrisico’s aan te pakken. 

Het is verstandig om een privacy impact assessment in een zo vroeg mogelijk stadium uit te voeren. Op deze manier wordt voorkomen dat er achteraf van alles geregeld moet worden om de risico’s te verkleinen. 

Verschil PIA en DPIA?

PIA staat voor privacy impact assessment en DPIA staat voor data protection impact assessment. Officieel spreekt de GDPR over een “Data Protection Impact Assessment (DPIA), wat in het Nederlands ‘gegevensbeschermingseffectbeoordeling’ (GEB) betekend. De afkortingen PIA, DPIA en GEB worden vaak door elkaar gebruikt. Maar PIA is de meest gebruikte afkorting.

Een gegevensbeschermingseffectbeoordeling of DPIA wordt ingezet wanneer een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, waarschijnlijk een verhoogd risico oplevert voor de rechten en vrijheden van natuurlijke personen. Hieruit volgt dat er altijd voorafgaand aan een nieuwe verwerking een beoordeling wordt uitgevoerd. In het bijzonder wordt er gelet op de privacyrisico’s voor de rechten en vrijheden van betrokkenen. 

Maar wat is een verhoogd risico?

In de AVG staat niet precies beschreven in welke gevallen er wel of geen sprake is van een verhoogd risico. Er zijn immers genoeg situaties te bedenken waarbij er sprake kan zijn van een verhoogd risico. Derhalve is het begrip ‘verhoogd risico’ een open begrip met meerdere manieren van interpretatie. Houd bij de beoordeling rekening met de volgende punten:

  • Gebruikt de beoogde verwerking nieuwe technologieën? Denk bijvoorbeeld aan kunstmatige intelligentie. 
  • De aard van de verwerking. Wat wil je precies gaan doen en waarom?
  • De omvang van de verwerking. Let hierbij op de duur, het aantal gegevens en betrokkenen.
  • De context van de verwerking. 
  • De doeleinden van de verwerking. En hoe wegen deze op tegen de noodzaak en evenredigheid van de verwerking. 

Op basis van deze factoren wordt vooraf bepaald of een beoogde verwerking een verhoogd risico voor de rechten van natuurlijke personenen met zich meebrengt. Indien dit het geval is dan wordt de beoogde verwerking beoordeeld aan de hand van een privacy impact assessment AVG

Wat voor risico’s treden er op bij de verwerking van persoonsgegevens?

Organisaties die persoonsgegevens gebruiken zijn verplicht om passende technische en organisatorische maatregelen te nemen om deze volgens de AVG te beveiligen. Iedereen vertrouwd erop dat zijn of haar persoonsgegevens goed beveiligd zijn. Het onvoldoende beveiligen van persoonsgegevens kan leiden tot datalekken en misbruik van deze gegevens. Hieruit volgt dat kwaadwillenden met de persoonsgegevens identiteitsfraude kunnen plegen. 

Wanneer is een PIA verplicht?

In de diverse privacywetgeving waaronder de Algemene verordening gegevensbescherming, Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens. Is op hoofdlijnen beschreven in welke situaties een privacy impact assessment AVG verplicht is. Dat is in ieder geval als een verwerking (waarschijnlijk) een verhoogd privacy risico oplevert voor de betrokkenen. Dit kan bijvoorbeeld het geval zijn als de verwerking gaat om een groot aantal betrokkenen. Maar ook als er bij de beoogde verwerking veel persoonsgegevens en/of bijzondere persoonsgegevens verwerkt. Echter moet de verwerkingsverantwoordelijke zelf bepalen of er sprake is van een verhoogd risico. 

De organisatie voert een privacy impact assessment AVG uit als er:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of  strafrechtelijke gegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Daarnaast heeft de toezichthouder een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een PIA verplicht is voordat de verwerking wordt uitgevoerd. Een soortgelijke lijst is gepubliceerd in de Handleiding AVG van het Ministerie van Justitie en Veiligheid. Deze lijst geeft 9 criteria, waaronder matching of het samenvoegen van databases en het verwerken van bijzondere persoonsgegevens. Indien een verwerking aan twee of meer van deze criteria voldoet dan is er sprake van een verhoogd risico en is een data protection impact assessment verplicht. 

Let op: een privacy impact assessment AVG is niet alleen bedoeld voor nieuwe verwerkingen met een verhoogd risico. Het uitvoeren van een data protection impact assessment op de bestaande verwerkingen is ook een manier om te beoordelen of de huidige bedrijfsprocessen voldoen aan de richtlijnen van de AVG. 

Uit welke onderdelen bestaat een Privacy impact assessment AVG?

De PIA is een systematische beschrijving van onder andere de beoogde verwerkingen en de verwerkingsdoeleinden. Indien de grondslag voor de verwerking het gerechtvaardigd belang van de verwerkingsverantwoordelijke is. Dan onderbouwd de organisatie de grondslag met argumenten. Daarnaast beoordeeld u de beoogde verwerking aan de hand volgende onderdelen:

  • een systematische beschrijving van de beoogde verwerkingen, de verwerkingsdoeleinden en de gerechtvaardigde belangen van de verwerkingsverantwoordelijke;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; 
  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen; 
  • en de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

De organisatie werkt de punten uit en weegt de verschillende belangen af. Als hieruit blijkt dat de verwerking een hoog risico oplevert indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de Autoriteit Persoonsgegevens. Vervolgens onderzoekt de Autoriteit Persoonsgegevens de beoogde verwerking nogmaals en heeft de verwerkingsverantwoordelijke schriftelijk advies hierover. 

Wie voert de Privacy impact assessment AVG uit?

In de eerste plaats is de verwerkingsverantwoordelijke eindverantwoordelijk en voert een data protection impact assessment uit. Ten tweede wordt er, indien van toepassing, aan verschillende partijen advies gevraagd. Indien de eigen medewerkers onvoldoende kennis hebben. Dan voert een externe partij de PIA uit.

Indien er binnen de organisatie een functionaris voor de gegevensbescherming (FG) werkzaam is. Dan vraagt de organisatie advies aan de FG. Bovendien is het verplicht de bevindingen van de FG op te nemen in de DPIA rapportage. 

Advies bij privacy helpt u graag mee met het maken van een privacy impact assessment AVG. Neem vrijblijvend contact met ons op. 

Privacy impact assessment AVG: wanneer is een DPIA nodig?